Amikor a Budapest Sportiroda oldalát feltörték, és megszerezték több mint 15 ezer magyar felhasználó adatait, azzal nemcsak a nevezési azonosítót szerezték meg, de sok esetben a gmailes, facebookos és egyéb oldalakra is bejutottak a hackerek. További listákon már freemailes, citromailes, és Yahoo-fiókok is érintettek. Probléma, hogy bizonyos oldalak nem védik kellőképpen az adatainkat, de az még inkább, hogy a felhasználók sem adnak erős jelszavakat, sőt sokszor ugyanazt használják mindenhol.
Újabb adatbázisok jutottak az Origo birtokába a tegnapi, kicsit több, mint 15 ezer fős lista után.
Egy 2015. augusztusi keltezésű dokumentumban több mint 800 Facebook-azonosító van. A nevekből és szolgáltatókból jól látszik, hogy magyarokról van szó. Akad gmailes, freemailes, hotmailes, citromailes és yahoos fiók is, a Facebook-jelszóval együtt. Az adatbázist ugyanazon a közösségi oldalon csereberélik és adják, mint ahol a BSI adatait feltöltő felhasználó is ténykedik. Ezt a listát azonban már vendégfiókkal töltötték fel az észt fájlmegosztóra, még nehezebbé téve, hogy a felhasználó után nyomozni lehessen.
Egy 2015. decemberi listán pár darab gmailes és freemailes felhasználónév-jelszó kombináció volt, egy 2011. augusztusi dokumentumban pedig kizárólag freemailes fiókok adatai.
A legtöbb adatot vélhetően ez esetben sem a levelezőrendszer berkeiből szerezték meg, hanem egyéb oldalakról, appokból, amiket feltörtek, vagy azon helyekről (pl. fórumok), ahol a felhasználónév publikus.
Az adatkezelő
A tegnapi cikk kapcsán záporoztak a levelek az olvasóktól, amelyből úgy tűnik, a Budapest Sportiroda (BSI) vélhetően nem titkosította az általa tárolt adatokat. A regisztrációs (nevezési) és a bejelentkezési oldal sem használt SSL kapcsolatot, nem jelent meg a lakat ikon a böngésző címsorában. Azaz gyakorlatilag nyers, olvasható formában utaztak a küldött adatok.
Maga az adatlopás korábban, még február elején történt, erről azonnal értesítették is a felhasználókat, és felkérték őket, hogy ha máshol is használják ezt a felhasználónév-jelszó kombinációt, azt haladéktalanul módosítsák.
„Amikor tudomásunkra jutott az adatlopás, mi azonnal értesítettük a felhasználókat, több mint 90 ezer levél ment ki” - mondta Kocsis Árpád, a Budapest Sportiroda ügyvezető igazgatója az Origónak. Leállították a nevezési rendszert, a felhasználóknak pedig egy véletlenszerűen generált jelszót osztottak ki ideiglenesen. Enélkül nem tudták volna a futók használni a rendszert.
A biztonsági rést, amely az adatlopást lehetővé tette, befoltoztuk, és egy erősebb tűzfalat is felhúztunk. Azóta nem is törtek be a rendszerünkbe" - mondta a BSI ügyvezetője.
Egy hét alatt felállt az új rendszer. A felhasználók a generált jelszóval tudtak belépni, de utána rögtön felszólította őket a felület, hogy adjanak meg egy újat. „Bár kifejezetten hangsúlyoztuk a levélben, hogy ne ugyanazt a jelszót adják meg, amit korábban használtak, sokan mégis így tettek” - meséli Kocsis Árpád.
Az is igaz azonban, hogy a levélben még feltételes módban szerepelt az adatlopás, és azt írták: „Jelenleg még vizsgáljuk a támadás mértékét és az esetlegesen ellopott adatok körét.” Több érintett is azt mondta az Origónak, ez némileg elaltatta az éberségüket, mert várták az újabb levelet a vizsgálat végeredményéről, de az nem jött.
A BSI nevezési rendszere 2008 óta működik, mégis - mint az ügyvezető kifejtette - először kaptak visszajelzést arról, hogy hiba van a felületen. Azonban látják, hogy a korral haladni kell, idén teljesen új felületet kapnak a futóversenyek és a nevezési oldal. „Már folyik a tenderezés, reményeink szerint 2-3 hónap múlva be tudjuk üzemelni.”
Arról, hogy eddig milyen védelmet alkalmaztak, Kocsis csak annyit mond, erről csak a BSI biztonsági szakemberei tudnának nyilatkozni.
Lazább szabályok
Ha nem telekommunikációs cégről beszélünk, akkor az adatkezelőnek csupán nyilvántartás-vezetési kötelezettsége van - mondta kérdésünkre Dr. Halász Bálint, a Bird & Bird nemzetközi ügyvédi iroda jogásza.
Azaz ha adatlopás történik, azt a jelenleg hatályos magyar jogszabályok szerint a BSI-nek nem kell jelentenie a hatóságok felé, ahogy a felhasználókat sem kell értesítenie. Ez 2018-ban az új uniós adatvédelmi rendelettel fog változni.
Viszont ha a hatóságok megkeresik, akkor kötelesek átadni a vezetett belső nyilvántartást. Ennek a 2015. októberi információs törvény alapján tartalmaznia kell:
- az érintett személyes adatok körét,
- az adatvédelmi incidenssel érintettek körét és számát,
- az adatvédelmi incidens időpontját, körülményeit, hatásait
- és az elhárítására megtett intézkedéseket.
Ha pedig egy érintett keresi meg az adott céget, jelen esetben a BSI-t ezzel kapcsolatban, akkor kötelesek tájékoztatást adni a megkereséstől számított 25 napon belül.
„A hatóságok csupán a kockázatoknak megfelelő biztonsági szint alkalmazását várják el” - mondja az ügyvéd. Azaz a jelen esetben illetékes hivatal, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) nem várja el a Budapest Sportirodától sem, hogy egy bankhoz hasonló védelmi rendszere legyen, amely a felhasználók adataiért felel.
Nem hibáztak
Vagyis nem hibáztak azzal, hogy nem titkosított csatornán fogadták és küldték az adatokat.
„Azzal, hogy a különböző cégek nem titkosítják az adatokat, százszor akkora veszélynek teszik ki a felhasználókat, mintha harmadik félnek kiadnák azokat” - mondta az Origónak több, névtelenül nyilatkozó szakértő is.
Éppen ezért is fontos, ha egy új iPhone vagy androidos mobil lehetővé teszi, hogy a mobilkészülékeken tárolt személyes adatokat akár a magánemberek is tudják titkosítani.
Ahogy az észt miniszterelnök amerikai látogatása során fogalmazott: a kormányok nem állhatnak a technológiai fejlődés útjába. A kormányoknak segíteni és nem gátolni kellene az innovációt” - mondta.
Gyenge jelszavak
Fontos megjegyezni azonban, hogy hatalmas felelősség terheli a felhasználót is. Az előző cikkünkben szereplő és az új listákon is rendkívül gyenge jelszavak találhatóak: a felhasználónév, a születési dátum, 6 karakternél rövidebb szavak és jobb esetben számok is, 123456 különböző hosszúságban, „jelszo” van megadva.
Minden századik volt olyan, amely már 8 karakternél hosszabb volt, tartalmazott kis- és nagybetűt, számot, és speciális karaktereket is, mint például a P1nt3rM0n1k@.
A felhasználó
A legjobb taktika a példából kiindulva, ha sémákat gyártunk magunknak:
- Jegyezzünk meg egy számunkra fontos kifejezést, pl. kedvenc sportoló, zenekar, játék, színész, film neve. Példa: Parov Stelar - parovstelar
- A magánhangzókat cseréljük ki számokra. Példa: p4r0vst3l4r
- Ha összetett szó, vagy két teljesen különálló szóból áll a jelszó, azoknak a kezdőbetűje legyen nagy. Példa: P4r0vSt3l4r
- Tegyünk a két szó közé, végére speciális karaktereket ($ß@&#), vagy még egyszerűbb ha: a B helyére ß, az S helyére $, az A helyére @ kerül, és akkor csak az adott kifejezést kell megjegyezni. Példa: P@r0vSt3l@r
- Hogy ne ugyanaz a jelszó legyen minden egyes fiókunkhoz, érdemes a végére odabiggyeszteni a szolgáltatás nevét, annak első három betűjét, első és utolsó betűjét stb. Példa: P@r0vSt3l@rfac (Facebook), P@r0vSt3l@rgma (Gmail), P@r0vSt3l@rspo (Spotify)
Érdemes használni a kétlépcsős azonosítást is, ahol elérhető (pl. Gmail, Facebook). Ahol a jelszó megadása után egy megadott telefonszámra elküldenek egy kódot, és ezt is meg kell adni ahhoz, hogy a fiókba beléphessünk.
A Microsoft a Build fejlesztői konferenciáján jelentette be, hogy az új Edge böngészővel lehetővé válik a biometrikus azonosítás a weboldalakon. Nincsenek többé jelszavak, nem kell megjegyezni őket, nem kell emlékeztető, csak egy ujjlenyomat.
A Windows Hello beléptető rendszere képes olyan egyedi jellemzők alapján azonosítani a felhasználót, mint az ujjlenyomat, arckép vagy írisz.